PUBLIC VISE : SECURITE INSTAGRAM
Fais attention! Le service de partage de photos appartenant à Facebook a récemment corrigé une vulnérabilité critique qui aurait pu permettre à des pirates informatiques de compromettre n'importe quel compte Instagram sans aucune interaction des utilisateurs ciblés.
Instagram se développe rapidement - et avec le réseau de médias sociaux le plus populaire au monde après Facebook, le réseau de partage de photos domine de manière absolue en ce qui concerne l'engagement et les interactions des utilisateurs.
Malgré la mise en place de mécanismes de sécurité avancés, les grandes plates-formes telles que Facebook, Google, LinkedIn et Instagram ne sont pas totalement à l'abri des pirates et contiennent de graves vulnérabilités.
Certaines vulnérabilités ont récemment été corrigées , certaines sont encore en train d'être corrigées, et beaucoup d'autres existent probablement, mais n'ont pas encore été trouvées.
Les détails d'une telle vulnérabilité critique sur Instagram apparue aujourd'hui sur Internet pourraient permettre à un attaquant distant de réinitialiser le mot de passe de n'importe quel compte Instagram et d'en prendre le contrôle intégral.
Découvert et signalé de manière responsable par le chasseur de primes indien Laxman Muthiyah , la vulnérabilité résidait dans le mécanisme de récupération de mot de passe mis en œuvre par la version mobile d'Instagram.
La "réinitialisation du mot de passe" ou "récupération du mot de passe" est une fonctionnalité qui permet aux utilisateurs de retrouver l'accès à leur compte sur un site Web au cas où ils auraient oublié leur mot de passe.
Sur Instagram, les utilisateurs doivent confirmer un code secret à six chiffres (expirant au bout de 10 minutes) envoyé au numéro de téléphone mobile ou au compte de messagerie associé pour prouver leur identité.
Cela signifie qu'une combinaison sur un million peut déverrouiller n'importe quel compte Instagram en utilisant une attaque par force brute, mais ce n'est pas aussi simple qu'il y paraît, car Instagram permet de limiter le débit pour empêcher de telles attaques.
Cependant, Laxman a constaté que cette limitation de débit pouvait être contournée en envoyant des demandes de force brute à partir d'adresses IP différentes et en exploitant la situation de concurrence critique, en envoyant des demandes simultanées pour traiter plusieurs tentatives simultanément.
Laxman a déclaré à The Hacker News.
Comme le montre la démonstration vidéo ci-dessus, Laxman a démontré avec succès la vulnérabilité de détournement de compte Instagram en tentant rapidement 200 000 combinaisons de mots de passe différents (20% du total) sans se faire bloquer.
Laxman a également publié un exploit de validation de concept pour cette vulnérabilité, qui a maintenant été corrigée par Instagram, et la société a attribué à Laxman une récompense de 30 000 USD dans le cadre de son programme de récompenses pour les bogues .
Afin de protéger vos comptes contre plusieurs types d’attaques en ligne et de réduire vos risques d’être compromis lorsque des attaquants ciblent directement des applications vulnérables, il est vivement recommandé aux utilisateurs d’activer «l’ authentification à deux facteurs », ce qui pourrait empêcher les pirates d’accéder à vos comptes même si ils parviennent en quelque sorte à voler vos mots de passe.
Source :thehackernews
---***---
Commenter cet article